Интересно Исследователи обнаружили вредоносную кампанию, использующую ISO-файлы для распространения троянов и майнеров.

[Admin]

Кампания под кодовым названием REF1695 использует поддельные установщики для распространения удалённых троянов и криптомайнеров с ноября 2023 года. Злоумышленники монетизируют атаки через CPA-мошенничество, направляя жертв на страницы с блокировкой контента под видом регистрации программного обеспечения. В последних версиях кампании также обнаружен ранее неизвестный .NET-имплант CNB Bot, который использует ISO-файлы для обхода защиты Microsoft Defender SmartScreen. Вредоносное ПО настраивает исключения в антивирусе и запускает CNB Bot в фоновом режиме, одновременно выводя пользователю сообщение об ошибке. CNB Bot способен загружать дополнительные полезные нагрузки, обновляться и удалять следы своей активности. Другие кампании злоумышленников распространяют PureRAT, PureMiner и загрузчик XMRig, который использует уязвимый драйвер WinRing0x64.sys для повышения производительности майнинга. Исследователи также обнаружили использование SilentCryptoMiner, который отключает режимы сна и гибернации Windows, а также создаёт механизмы устойчивости. Кампания принесла злоумышленникам около 27.88 XMR ($9,392).